CN114338056B - 基于云分发的网络访问方法及其系统、介质、设备 - Google Patents
基于云分发的网络访问方法及其系统、介质、设备 Download PDFInfo
- Publication number
- CN114338056B CN114338056B CN202011030013.5A CN202011030013A CN114338056B CN 114338056 B CN114338056 B CN 114338056B CN 202011030013 A CN202011030013 A CN 202011030013A CN 114338056 B CN114338056 B CN 114338056B
- Authority
- CN
- China
- Prior art keywords
- server
- key
- certificate
- connection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开是关于一种基于云分发的网络访问方法及其系统。该方法包括:服务器接收HTTPS访问请求;所述服务器通过与所述密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;所述密钥服务器通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;所述服务器基于所述处理结果数据处理所述访问请求。采用上述方法,在降低服务器的计算负载的同时,也兼顾了密钥服务器的安全。
Description
技术领域
本公开涉及云分发技术领域,尤其涉及基于云分发的网络访问方法及其系统、介质、设备。
背景技术
随着网络技术的发展,越来越多的访问方式从基于HTTP(超文本传输协议)转为基于HTTPS(超文本传输安全协议),HTTPS在保护用户隐私和防劫持等方面发挥着重要作用。但是基于HTTPS的握手过程需要大量的计算,会额外消耗大量的CPU资源从而降低用户访问资源的速度,同时使服务器的处理能力大幅度下降。
在基于HTTPS访问过程中,其中SSL(Secure Sockets Layer,安全套接层)握手阶段的计算量是最大的,SSL主要有两种握手方式,一种是基于RSA算法,一种是基于DH(Deiffie-Hellman)算法,RSA和DH的密钥交换算法需要消耗大量的CPU资源,而且也是整个握手过程中最慢的部分,对比于HTTP请求,HTTPS的性能下降可能达到90%多。
由于HTTPS握手这种密集型的计算会给服务器造成巨大的压力,尤其对于内容分发网络这种面对海量用户的服务器节点,影响尤为明显,大大降低了服务器的业务处理能力,因此如何解决HTTPS握手消耗带来的问题变得越来越重要。
发明内容
为克服相关技术中存在的问题,本公开提供一种基于云分发的网络访问方法及其系统、介质、设备。
根据本公开实施例的第一方面,提供一种基于云分发的网络访问方法,所述方法包括:
服务器接收HTTPS访问请求;
所述服务器通过与所述密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
所述密钥服务器通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
所述服务器基于所述处理结果数据处理所述访问请求。
其中,所述所述服务器接收HTTPS访问请求之前,还包括:
证书管理中心接收来自于客户的公钥和私钥;
所述证书管理中心将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
其中,所述方法还包括:
所述服务器将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器基于所述公钥信息获取与所述握手信息相关的私钥。
其中,在所述服务器将针对所述访问请求的握手信息发送到密钥服务器之前,所述方法还包括:
在所述服务器与所述密钥服务器之间建立所述连接;
验证所述连接的安全性。
其中,所述验证所述连接的安全性,包括:
所述服务器从证书管理中心获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器和所述密钥服务器分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
其中,所述方法还包括:
当所述服务器确定所述密钥服务器无法提供服务时,向所述证书管理中心发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心将与所述公钥信息相关的私钥发送到所述服务器;
所述服务器通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据。
根据本公开实施例的第二方面,提供一种用于基于云分发的网络访问的系统,所述系统包括:
服务器,被设置为接收HTTPS访问请求,并通过与所述密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
所述密钥服务器,被设置为通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
所述服务器还被设置为基于所述处理结果数据处理所述访问请求。
其中,所述系统还包括:
证书管理中心,被设置为在所述服务器接收HTTPS访问请求之前,接收来自于客户的公钥和私钥,以及将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
其中,所述服务器还被设置为:将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器还被设置为:基于所述公钥信息获取与所述握手信息相关的私钥。
其中,所述服务器和所述密钥服务器还被设置为:
在所述服务器将针对所述访问请求的握手信息发送到密钥服务器之前,建立所述服务器与所述密钥服务器之间的所述连接;
验证所述连接的安全性。
其中,所述服务器和所述密钥服务器还被设置为通过下述方式验证所述连接的安全性:
所述服务器从证书管理中心获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器和所述密钥服务器分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
其中,所述服务器还被设置为:当所述服务器确定所述密钥服务器无法提供服务时,向所述证书管理中心发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心还被设置为:当接收到所述私钥请求消息时,将与所述公钥信息相关的私钥发送到所述服务器;
所述服务器还被设置为:通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据。
根据本公开实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现上述方法的步骤。
根据本公开实施例的第四方面,提供一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述方法的步骤。
采用本公开的上述方法,服务器接收HTTPS访问请求之后,通过与所述密钥服务器之间的安全连接,将针对该访问请求的握手信息发送到密钥服务器,以由密钥服务器通过与所述握手信息相关的私钥处理握手信息,生成处理结果数据。密钥服务器将处理结果数据发送到所述服务器,并由服务器基于处理结果数据处理HTTPS访问请求。
采用上述方法,将处理握手信息的工作转移至密钥服务器进行,并且握手信息是通过服务器和密钥服务器之间的安全连接进行传输。这样,在降低服务器的计算负载的同时,也兼顾了密钥服务器的安全。此外,对于握手信息所需要的公钥和私钥采用分开管理的方式,即将私钥保存在密钥服务器上,将公钥保存在服务器上。通过这种管理密钥的方式,避免了传统方法中将公钥私钥均保存在服务器上而引起信息泄露的风险。
因此本公开的方法降低了服务器上的握手计算工作量,提升了服务器的整体性能,还解决了握手过程中的安全以及稳定性问题,保证整体服务的质量。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种基于云分发的网络访问方法的流程图。
图2是根据一示例性实施例示出的一种基于云分发的网络访问方法的流程图。
图3是根据一示例性实施例示出的一种基于云分发的网络访问系统的框图。
图4是根据一示例性实施例示出的一种计算机设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
HTTPS握手这种密集型的计算会给服务器造成巨大的压力,尤其对于内容分发网络这种面对海量用户的服务器节点,影响尤为明显,大大降低了服务器的业务处理能力。
因此,本公开提出了一种将握手计算过程转移至CDN的服务器外部,即密钥服务器的方法来降低服务器的计算负载,同时兼顾保障密钥服务器的安全。在本公开的方法中,服务器接收HTTPS访问请求之后,通过与所述密钥服务器之间的安全连接,将针对该访问请求的握手信息发送到密钥服务器,以由密钥服务器通过与所述握手信息相关的私钥处理握手信息,生成处理结果数据。密钥服务器将处理结果数据发送到所述服务器,并由服务器基于处理结果数据处理HTTPS访问请求。
采用上述方法,将处理握手信息的工作转移至密钥服务器进行,并且握手信息是通过服务器和密钥服务器之间的安全连接进行传输。这样,在降低服务器的计算负载的同时,也兼顾了密钥服务器的安全。此外,对于握手信息所需要的公钥和私钥采用分开管理的方式,即将私钥保存在密钥服务器上,将公钥保存在服务器上。通过这种管理密钥的方式,避免了传统方法中将公钥私钥均保存在服务器上而引起信息泄露的风险。
因此本公开的方法降低了服务器上的握手计算工作量,提升了服务器的整体性能,还解决了握手过程中的安全以及稳定性问题,保证整体服务的质量。
图1是根据一示例性实施例示出的基于云分发的网络访问方法的流程图,如图1所示,该方法包括以下步骤:
步骤101,服务器接收HTTPS访问请求;
步骤102,所述服务器通过与所述密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
步骤103,所述密钥服务器通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
步骤104,所述服务器基于所述处理结果数据处理所述访问请求。
在上述方法中,在CDN网络的边缘节点组内增加专门用于处理握手计算的密钥服务器,可以设置一台密钥服务器,也可以设置多台密钥服务器。当组内设置有多台密钥服务器时,服务器可以基于现有方法选择一台密钥服务器,具体选择过程不再赘述。
在步骤101中,负载均衡服务器在接收到来自客户的HTTPS访问请求后,将该访问请求转发至一台缓存服务器。该缓存服务器负责与客户进行HTTPS握手,当握手过程进行到密钥交换时,则将计算密集型的解密或签名过程转移至密钥服务器进行。或者也可以由负载均衡服务器直接进行与客户的HTTPS握手。下面的描述是以缓存服务器负责与客户进行HTTPS握手来描述的。
在步骤102中,当握手过程进行到密钥交换时,缓存服务器通过与密钥服务器之间已建立的连接,将相关的握手信息发送到密钥服务器。这里的握手信息是需要密钥服务器处理的握手信息,例如加密的文件或握手过程中的参数信息。这里的握手信息是本领域技术人员已知的需要通过私钥处理的握手过程中的信息,在此不再赘述。
在步骤103中,密钥服务器通过与接收到的握手信息相关的私钥处理该握手信息,生成处理结果数据。例如当接收到的握手信息为加密的文件时,处理结果数据为解密后的文件。密钥服务器将处理结果数据通过与缓存服务器之间的连接发送到缓存服务器。这里的与握手信息相关的私钥的获取将在后面的实施方式中详细描述。
在步骤104中,缓存服务器基于接收的处理结果数据完成后续的握手过程,以实现处理HTTPS访问请求的目的。
由上述可以看出,将处理握手信息的工作转移至密钥服务器进行,降低缓存服务器的计算负载,从而提升了缓存服务器的整体性能。
在可选实施方式中,所述服务器接收HTTPS访问请求之前,还包括:
证书管理中心接收来自于客户的公钥和私钥;
所述证书管理中心将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
在该实施方式中,证书管理中心在接收到客户的公钥和私钥后,分别将公钥和私钥发送到缓存服务器和密钥服务器。这是因为,CDN网络的边缘节点组内的缓存服务器不需要进行与私钥相关的握手计算,因此就不再需要保存客户的私钥。这种将公钥和私钥分开保存的方式保证了客户私钥的安全,从而避免了公钥私钥同地保存而导致的泄露问题,提高了握手过程的安全性。
在可选实施方式中,所述方法还包括:
所述服务器将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器基于所述公钥信息获取与所述握手信息相关的私钥。
由于密钥服务器在处理缓存服务器发送过来的握手信息时,是通过与该握手信息相关的私钥进行处理的。因此,密钥服务器需要获取与该握手信息相关的私钥。
鉴于此,缓存服务器不仅需要向密钥服务器发送握手信息,还需要向密钥服务器发送与该握手信息相关的公钥信息,例如公钥摘要的内容,密钥服务器可以通过该摘要内容在证书管理中心发送过来的私钥中查找与该摘要内容对应的私钥,以执行握手计算。
在可选实施方式中,在所述服务器将针对所述访问请求的握手信息发送到密钥服务器之前,所述方法还包括:
在所述服务器与所述密钥服务器之间建立所述连接;
验证所述连接的安全性。
如前所述,缓存服务器通过与密钥服务器之间已建立的连接,将握手信息和相关公钥信息发送到密钥服务器。因此,在缓存服务器向密钥服务器发送握手信息和相关公钥信息之前,如果缓存服务器与密钥服务器之间还未建立连接,则需要在两者之间建立连接。具体地,两者之间的连接为SSL连接。SSL连接建立的过程可以基于本领域技术人员已知的方式实现,在此不再赘述。
为了保证所建立的连接的安全性,需要在缓存服务器与密钥服务器之间进行双向认证。具体过程如关于下述实施方式的描述。
在可选实施方式中,所述验证所述连接的安全性,包括:
所述服务器从证书管理中心获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器和所述密钥服务器分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
证书管理中心将缓存服务器证书下发到缓存服务器,将密钥服务器证书下发到密钥服务器。其中的缓存服务器证书和密钥服务器证书用于缓存服务器和密钥服务器之间进行双向认证时使用。另外,缓存服务器和密钥服务器还从证书管理中心获取各自的CA证书。这里CA证书的生成和使用过程采用本领域技术人员已知的方式,在此不再赘述。
具体地,将keyserver.crt(密钥服务器证书)以及ca.crt证书(CA证书)下发至密钥服务器,并将keyclient.crt(缓存服务器证书)以及ca.crt证书(CA证书)下发至缓存服务器,当缓存服务器跟密钥服务器进行连接过程中,双方需要互相发送证书进行认证。在缓存服务器和密钥服务器之间建立连接后,缓存服务器和密钥服务器向彼此发送缓存服务器证书和密钥服务器证书。缓存服务器在接收到密钥服务器发送的密钥服务器证书后,基于自己的CA证书对密钥服务器证书进行验证。密钥服务器在接收到缓存服务器发送的缓存服务器证书后,基于自己的CA证书对缓存服务器证书进行验证。当缓存服务器验证密钥服务器证书合法,且密钥服务器验证缓存服务器证书合法时,确定缓存服务器和密钥服务器之间的连接安全。
通过上述的缓存服务器和密钥服务器之间的双向认证,来保证两者之间的连接安全,保证缓存服务器和密钥服务器之间的安全通讯,从而确保用户请求的安全处理。
在可选实施方式中,所述方法还包括:
当所述服务器确定所述密钥服务器无法提供服务时(包括但不限于:密钥服务器故障、服务器与密钥服务器间连接异常、密钥服务器未存储请求所对应的私钥),向所述证书管理中心发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心将与所述公钥信息相关的私钥发送到所述服务器;
所述服务器通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据。
在前述方法中,将握手信息的处理转移到了密钥服务器,因此密钥服务器的健壮性非常重要。在该实施方式中,当密钥服务器无法提供服务的情况时,缓存服务器需要将握手信息的处理(解密或签名运算)切换至本地,以保证能够正常为客户提供服务。由于为了安全起见,缓存服务器并不保存客户的私钥,因此,当缓存服务器确定密钥服务器出现故障时,就需要向证书管理中心请求私钥。
缓存服务器将包括公钥信息的私钥请求消息发送到证书管理中心,证书管理中心通过该公钥信息查找到相关的私钥后,将该私钥发送到缓存服务器,然后由缓存服务器处理握手信息。
采用上述方式,能够确保当密钥服务器出现故障时,也能正常地处理客户的访问请求,不影响客户的正常访问。
需要说明的是,为了确保密钥的安全性,在证书管理中心向缓存服务器和密钥服务器发送公钥和私钥时,所述证书管理中心与所述缓存服务器之间可以采用双向认证连接后才分发和接收相关的私钥,所述双向认证连接步骤同上述密钥服务器与缓存服务器之间的双向认证步骤,此处不再赘述。
下面结合具体的应用场景描述根据本公开的具体实施例。在该实施例中,针对密钥服务器作了额外的优化,采用SSL硬件加速卡,能够显著的提升密钥服务器的握手处理能力。其中,处理与客户的HTTPS握手的服务器为缓存服务器。如图2所示,在该实施例中,基于CDN的网络访问方法包括下述步骤:
步骤201,客户将其公钥(证书)和私钥提交到证书管理中心。
步骤202,证书管理中心将公钥下发到缓存服务器,将私钥下发到密钥服务器。
步骤203,证书管理中心获取缓存服务器和密钥服务器双向验证使用的证书和CA证书。
步骤204,证书管理中心将缓存服务器证书及其CA证书下发到缓存服务器,将密钥服务器证书及其CA证书下发到密钥服务器。
步骤205,缓存服务器和密钥服务器之间建立SSL连接。
步骤206,缓存服务器和密钥服务器向彼此发送缓存服务器证书和密钥服务器证书,并基于CA证书验证接收到的证书,以验证连接的安全性。
步骤207,缓存服务器接收负载均衡服务器转发的HTTPS访问请求。
步骤208,缓存服务器通过与密钥服务器之间的安全连接,将待处理的握手信息和公钥的摘要内容发送至密钥服务器。
步骤209,密钥服务器基于公钥的摘要内容查到相关的私钥,并通过私钥进行解密或签名运算,并将运算结果发送至缓存服务器。
步骤210,缓存服务器基于运算结果进行后续的握手流程。
本公开通过在一组边缘节点中引入了专门用于HTTPS握手计算的密钥服务器,使得缓存服务器能够将计算密集型的签名或解密操作转移到密钥服务器上,有效地降低了缓存服务器的CPU使用率,大大提高了整个系统的处理能力。其次,缓存服务器跟密钥服务器使用到的公钥和私钥都由证书管理中心统一进行安全管理和下发,保证公钥和私钥的安全性。同时,缓存服务器跟密钥服务器之间建立连接时进行双向认证,能够有效的保证缓存服务器与密钥服务器之间的安全通讯,确保用户请求的安全性。另外,当密钥服务器出现无法对外服务时,能够及时将握手计算切换到缓存服务器本地进行,以确保正常提供访问服务。
本公开还提供了一种用于基于云分发的网络访问的系统,如图3所示,所述系统包括:
服务器301,被设置为接收HTTPS访问请求,并通过与所述密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
所述密钥服务器302,被设置为通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
所述服务器301还被设置为基于所述处理结果数据处理所述访问请求。
在可选实施方式中,所述系统还包括:
证书管理中心,被设置为在所述服务器接收HTTPS访问请求之前,接收来自于客户的公钥和私钥,以及将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
在可选实施方式中,所述服务器301还被设置为:将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器302还被设置为:基于所述公钥信息获取与所述握手信息相关的私钥。
在可选实施方式中,所述服务器301和所述密钥服务器302还被设置为:
在所述服务器301将针对所述访问请求的握手信息发送到密钥服务器302之前,建立所述服务器301与所述密钥服务器302之间的所述连接;
验证所述连接的安全性。
在可选实施方式中,所述服务器301和所述密钥服务器302还被设置为通过下述方式验证所述连接的安全性:
所述服务器301从证书管理中心303获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器302从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器301和所述密钥服务器302分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
在可选实施方式中,所述服务器301还被设置为:当所述服务器确定所述密钥服务器无法提供服务时,向所述证书管理中心303发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心303还被设置为:当接收到所述私钥请求消息时,将与所述公钥信息相关的私钥发送到所述服务器;
所述服务器301还被设置为:通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
采用上述方法,将处理握手信息的工作转移至密钥服务器进行,并且握手信息是通过服务器和密钥服务器之间的安全连接进行传输。这样,在降低服务器的计算负载的同时,也兼顾了密钥服务器的安全。此外,对于握手信息所需要的公钥和私钥采用分开管理的方式,即将私钥保存在密钥服务器上,将公钥保存在服务器上。通过这种管理密钥的方式,避免了传统方法中将公钥私钥均保存在服务器上而引起信息泄露的风险。
因此本公开的方法降低了服务器上的握手计算工作量,提升了服务器的整体性能,还解决了握手过程中的安全以及稳定性问题,保证整体服务的质量。
本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现上述方法的步骤。
本公开还提供了一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
图4是根据一示例性实施例示出的一种用于服务器的计算机设备400的框图。例如,计算机设备400可以被提供为一服务器。参照图4,计算机设备400包括处理器401,处理器的个数可以根据需要设置为一个或者多个。计算机设备400还包括存储器402,用于存储可由处理器401的执行的指令,例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器401被配置为执行指令,以执行上述缓存分发方法。
本领域技术人员应明白,本文的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本文可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本文可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文是参照根据本文实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能重定向计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本文的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本文范围的所有变更和修改。
显然,本领域的技术人员可以对本文进行各种改动和变型而不脱离本文的精神和范围。这样,倘若本文的这些修改和变型属于本文权利要求及其等同技术的范围之内,则本文的意图也包含这些改动和变型在内。
Claims (10)
1.一种基于云分发的网络访问方法,其特征在于,所述方法包括:
服务器接收HTTPS访问请求;
所述服务器通过与密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
所述密钥服务器通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
所述服务器基于所述处理结果数据处理所述访问请求;
当所述服务器确定所述密钥服务器无法提供服务时,向证书管理中心发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心将与所述公钥信息相关的私钥发送到所述服务器;其中,所述证书管理中心与所述服务器之间采用双向认证连接后才分发和接收相关的私钥;
所述服务器通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据;
所述服务器接收HTTPS访问请求之前,还包括:
证书管理中心接收来自于客户的公钥和私钥;
所述证书管理中心将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器基于所述公钥信息获取与所述握手信息相关的私钥。
3.如权利要求1所述的方法,其特征在于,在所述服务器将针对所述访问请求的握手信息发送到密钥服务器之前,所述方法还包括:
在所述服务器与所述密钥服务器之间建立所述连接;
验证所述连接的安全性。
4.如权利要求3所述的方法,其特征在于,所述验证所述连接的安全性,包括:
所述服务器从证书管理中心获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器和所述密钥服务器分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
5.一种用于基于云分发的网络访问的系统,其特征在于,所述系统包括:
服务器,被设置为接收HTTPS访问请求,并通过与密钥服务器之间的连接,将针对所述访问请求的握手信息发送到密钥服务器;
所述密钥服务器,被设置为通过与所述握手信息相关的私钥处理所述握手信息,生成处理结果数据,并将所述处理结果数据通过所述连接发送到所述服务器;
所述服务器还被设置为基于所述处理结果数据处理所述访问请求;
所述服务器还被设置为:当所述服务器确定所述密钥服务器无法提供服务时,向证书管理中心发送私钥请求消息,所述私钥请求消息包括与所述握手信息相关的公钥信息;
所述证书管理中心还被设置为:当接收到所述私钥请求消息时,将与所述公钥信息相关的私钥发送到所述服务器;其中,所述证书管理中心与所述服务器之间采用双向认证连接后才分发和接收相关的私钥;
所述服务器还被设置为:通过所述私钥处理针对所述访问请求的所述握手信息,并生成所述处理结果数据;
所述系统还包括:
证书管理中心,被设置为在所述服务器接收HTTPS访问请求之前,接收来自于客户的公钥和私钥,以及将所述公钥发送到服务器,将所述私钥发送到所述密钥服务器。
6.如权利要求5所述的系统,其特征在于,
所述服务器还被设置为:将与所述握手信息相关的公钥信息发送到所述密钥服务器;
所述密钥服务器还被设置为:基于所述公钥信息获取与所述握手信息相关的私钥。
7.如权利要求5所述的系统,其特征在于,所述服务器和所述密钥服务器还被设置为:
在所述服务器将针对所述访问请求的握手信息发送到密钥服务器之前,建立所述服务器与所述密钥服务器之间的所述连接;
验证所述连接的安全性。
8.如权利要求7所述的系统,其特征在于,所述服务器和所述密钥服务器还被设置为通过下述方式验证所述连接的安全性:
所述服务器从证书管理中心获取服务器证书,将所述服务器证书发送到所述密钥服务器;
所述密钥服务器从所述证书管理中心获取密钥服务器证书,将所述密钥服务器证书发送到所述服务器;
所述服务器和所述密钥服务器分别基于各自获取的CA证书对接收的所述密钥服务器证书和所述服务器证书进行认证,以验证所述连接的安全性。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-4中任意一项所述方法的步骤。
10.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-4中任意一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011030013.5A CN114338056B (zh) | 2020-09-24 | 2020-09-24 | 基于云分发的网络访问方法及其系统、介质、设备 |
| PCT/CN2021/120211 WO2022063213A1 (zh) | 2020-09-24 | 2021-09-24 | 基于云分发的网络访问方法及其系统、介质、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011030013.5A CN114338056B (zh) | 2020-09-24 | 2020-09-24 | 基于云分发的网络访问方法及其系统、介质、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338056A CN114338056A (zh) | 2022-04-12 |
| CN114338056B true CN114338056B (zh) | 2023-07-28 |
Family
ID=80846225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011030013.5A Active CN114338056B (zh) | 2020-09-24 | 2020-09-24 | 基于云分发的网络访问方法及其系统、介质、设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114338056B (zh) |
| WO (1) | WO2022063213A1 (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161449A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 无密钥认证传输方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2996300B1 (en) * | 2014-09-11 | 2018-11-07 | The Boeing Company | A computer implemented method of analyzing x.509 certificates in ssl/tls communications and the data-processing system |
| CN106341375B (zh) * | 2015-07-14 | 2021-01-01 | 腾讯科技(深圳)有限公司 | 实现资源加密访问的方法及系统 |
| CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
| CN106411893B (zh) * | 2016-09-30 | 2019-08-13 | 成都知道创宇信息技术有限公司 | 一种https服务的部署方法 |
| CN108401011B (zh) * | 2018-01-30 | 2021-09-24 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
| CN108200104A (zh) * | 2018-03-23 | 2018-06-22 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和系统 |
-
2020
- 2020-09-24 CN CN202011030013.5A patent/CN114338056B/zh active Active
-
2021
- 2021-09-24 WO PCT/CN2021/120211 patent/WO2022063213A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161449A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 无密钥认证传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022063213A1 (zh) | 2022-03-31 |
| CN114338056A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI725655B (zh) | 用於在可信執行環境中執行子邏輯代碼的程式執行和資料證明的方法、設備和系統 | |
| US20230155821A1 (en) | Secure shared key establishment for peer to peer communications | |
| WO2019237796A1 (zh) | 资源获取、分发、下载方法、装置、设备及存储介质 | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| CN110677240B (zh) | 通过证书签发提供高可用计算服务的方法、装置及介质 | |
| US11206137B2 (en) | Providing high availability computing service by issuing a certificate | |
| US11025415B2 (en) | Cryptographic operation method, method for creating working key, cryptographic service platform, and cryptographic service device | |
| US10824744B2 (en) | Secure client-server communication | |
| TW202015378A (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| CN113987554B (zh) | 获取数据授权的方法、装置及系统 | |
| US11228450B2 (en) | Method and apparatus for performing multi-party secure computing based-on issuing certificate | |
| CN111064569A (zh) | 可信计算集群的集群密钥获取方法及装置 | |
| CN113472790B (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| US10686769B2 (en) | Secure key caching client | |
| KR101952329B1 (ko) | 블록체인 기반 암호화폐의 트랜잭션에 이용되는 주소 정보 생성 방법, 전자 장치 및 컴퓨터 판독 가능한 기록 매체 | |
| CN110581829A (zh) | 通信方法及装置 | |
| CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
| CN114338056B (zh) | 基于云分发的网络访问方法及其系统、介质、设备 | |
| CN112468453A (zh) | 多协议设备的接入方法、系统、电子设备及存储介质 | |
| US20230370455A1 (en) | Process level authentication for client device access to a server system | |
| CN114722364A (zh) | 一种认证方法、装置及设备 | |
| CN117997630A (zh) | 一种文件的加密传输方法、装置、存储介质及电子设备 | |
| CN114244569A (zh) | Ssl vpn远程访问方法、系统和计算机设备 | |
| CN117914477A (zh) | 一种数据处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40072512 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |